Cтатья будет полезна разработчикам и инженерам по ИБ, желающим повысить уровень безопасности приложений за счет внедрения проверок, запрещающих вносить в ПО сторонние компоненты с известными уязвимостями.

В статье рассмотрим внедрение CodeScoring Johnny применительно к Azure DevOps Server в процесс анализа запросов на вытягивание (pull requests) для целей композиционного анализа.

При написании этой статьи я вновь пришел к мысли, что каждый ИТ-шник и ИБ-шник должен быть хоть чуточку разработчиком для более эффективного решения своих задач

Двое специалистов в своей довольно старой публикации Trojan Source: Invisible Vulnerabilities описали одну из интересных атак, суть которой заключается в следующем: при просмотре исходного кода вы видите одно, но при компиляции в конечном приложении будет реализована совсем другая логика. Суть атаки проста: не все редакторы кода отображают unicode символы и рецензенты кода их попросту не увидят. Для реализации атаки необходимо использовать определенные символы в кодировке unicode, которые заставляют компилятор читать исходный код в другом направлении либо вызывать совсем другие функции.

Cтатья будет полезна разработчикам и инженерам по ИБ, желающим повысить уровень безопасности приложений за счет внедрения проверок, запрещающих вносить секреты в открытом виде в исходный код.

В случае утечки исходного кода либо ознакомления с ним неуполномоченными лицами компания понесет ущерб.

В статье рассмотрим внедрение Gitleaks применительно к Azure DevOps Server в процесс анализа запросов на вытягивание (pull requests) при слиянии ветвей. Система управления исходным кодом Azure Repos является частью Azure DevOps Server.

Сегодня поговорим о качестве открытых данных Роскомнадзора на примере набора данных "Реестр операторов, осуществляющих обработку персональных данных".

Данный набор как предполагается должен содержать общедоступную информацию об операторах ПДн. Попробуем понять, какие проблемы имеются у данного набора и что может улучшить Роскомнадзор в процессе обработки уведомлений об обработке ПДн.

Цель данной статьи: показать основы межсетевого экранирования при организации доступа к инфраструктуре компании работникам, гостям, клиентам, партерам и подрядчикам.

Повышение осведомлённости пользователей в вопросах информационной безопасности - обязательная в настоящее время активность в компаниях, стремящихся уменьшить вероятность компрометации информационных систем.

В данной статье попробуем разобраться как должен выглядеть курс по повышению осведомлённости работников.

Согласно новости, Подкомитет 1 ТК № 122 опубликовал в закрытом доступе проект стандарта Банка России «Безопасность финансовых (банковских) операций. Обеспечение безопасности финансовых сервисов при использовании технологии цифровых отпечатков устройств».

Настоящий Стандарт устанавливает рекомендации, реализация которых направлена на обеспечение организациями банковской системы РФ мониторинга и контроля идентификации пользовательских устройств методом формирования и обработки цифровых отпечатков устройств при дистанционном предоставлении финансовых услуг пользователям.

Статья является продолжением статьи: История утечки персональных данных через Github.

Сегодняшняя подборка:

1. Персданные, пароли, рабочие секреты, все в куче

2. Пасхалка с персональными данными в рабочем проекте

3. Креды для доступа в даркнет

История про одного нерадивого участника воркшопа от GeekBrains и, как он случайно слил персональные данные и иную конфиденциальную информацию.

Цель статьи: показать базовый подход к сегментации сети компании при разработке новых либо модернизации текущих автоматизированных систем.

1. Основные уровни сетевой архитектуры: DMZ, APP, DB;

2. Правила межсервисного взаимодействия.

Речь не пойдет о собеседованиях на должности апсеков и инженеров SOC, пентестеров, речь в статье пойдет только о классических специалистах ИБ - универсалах своего дела.

Рассмотрим 2 сценария:

1. собеседование в компанию имеющую штат специалистов по ИБ;

2. собеседование в компанию, которая ищет первого безопасника, не всегда целью поиска является создание целого подразделения и соответственно собеседование именно на руководителя такого подразделения, часто работодатель хочет нанять просто специалиста чтобы понять его значимость.

Рассмотрим общие вопросы и вопросы по резюме.

Как-то раз рассматривая очередной запрос от пользователя на право работы с корпоративной учеткой во внешнем сервисе, наткнулся на странный список URL который, вероятно, раскрывает список клиентов автора приложения в Enterprise applications.

Обращали ли вы внимание на то, что в iOS можно заблокировать вывод любой информации из телефона, но вот приложение Часы, а вместе с ним и будильники доступны как на просмотр, так и на изменение?

В статье я расскажу как:

- отказаться от заявок на открытие доступа по заявкам произвольного вида и перейти к табличкам с доступами;

- сделать согласование сетевых доступов удобным всем;

- как автоматизировать согласование.

При этом не пропустить ни один сетевой доступ из вида и причем здесь политика сетевой безопасности.

Недавненько была информация о том, что поисковики просканировали открытые страницы в Trello.

Логично, что многие начали искать там номера банковских карт, пароли.

Как это делать? Вот.

Повышение осведомленности работников в области информационной безопасности и поиск способов оперативного сбора информации об инцидентах (или иных подозрительных событиях) прямо от работников может завести безопасника к созданию бота.

Бота можно сделать для Telegram, Whatsapp, написать свой сайтик, написать приложение для VK, написать приложение для иного часто используемого приложения работниками. В данном примере рассмотрим бота созданного через Microsoft Power virtual agents для Microsoft Teams.

Управление уязвимостями в маленьких компаниях отличается от управления уязвимостями в многочисленных компаниях. Ситуация может ухудшаться если большая компания является разработчиком множества продуктов, предоставляет услуги аутсорсинга, при этом все это реализуют микро и макрокоманды со своим стеком, своим железом, своими админами.

Мне как безопаснику, который решил взяться за централизованное, удобное для всех и не бесящее устранение уязвимостей с возможностью отчетности для руководства, предстояло изменить само видение процесса устранения уязвимостей.

Статья покажет, как достаточно дешево, без покупки дорогостоящих систем управления уязвимостями на базовом уровне реализовать эффективный процесс управления уязвимостями.

Конечно, можно помимо сканера уязвимостей купить к нему и систему управления уязвимостями и платить десятки тысяч долларов в год за лицензирование данной системы.

Вступление

Интранет нового поколения. Социальный. Мобильный. Вовлекающий.

Графическая схема